- Опыт построения и эксплуатации SOC
- Команда SOC
- Экспертиза и масштабирование
- Уровень обслуживания и комплексный подход
- Пилотный проект
- Сертификация и статус провайдера
- Выводы
В кругу экспертов кибербезопасности преобладает мнение, что с каждым годом проблемы информационной безопасности, с которыми сталкиваются компании, будут появляться все чаще и становиться более изощренными. Технологии злоумышленников постоянно совершенствуются, поэтому стратегической задачей является непрерывное развитие, оптимизация решений и процессов обеспечения информационной безопасности. При этом отрасль по-прежнему страдает от острой нехватки профессиональных кадров в области кибербезопасности и спрос на новых специалистов будет расти, что сделает привлечение талантливых и перспективных сотрудников в организацию еще сложнее, чем раньше. Что может сделать компания для обеспечения безопасности своей деятельности от поступающих угроз?
Решением данной задачи для компании может являться облачный SOC – что представляет из себя взаимодействие со специализированными организациями, оказывающими услуги по выявлению, обработке и расследованию инцидентов — так называемыми провайдерами SOC. Такие организации снимают необходимость строить с нуля и обслуживать свой центр мониторинга и реагирования внутри компании, тем самым освобождая ресурсы компании. Воспользовавшись услугами облачного SOC, компания получает все необходимые сервисы и услуги напрямую от провайдера.
Но так ли просто доверить безопасность критически важных компаний сторонней организации? Процесс выбора провайдера SOC трудоемкий и требует от компании погружения в процессы оказания услуг и уровни обслуживания (SLA) каждого претендента. Важно убедиться, что поставщик услуг будет полностью соответствовать вашим ожиданиям и сможет грамотно и быстро подстроиться под бизнес-процессы компании. На какие факторы стоит обратить внимание при выборе поставщика облачного SOC?
Опыт построения и эксплуатации SOC
На наш взгляд, одним из главных критериев, показывающим реальный опыт и компетенции провайдера SOC, является именно опыт успешного построения и обслуживания собственного SOC. К примеру, компания Infosecurity обладает подтвержденным опытом внедрения решения с нуля, а также оказания сервиса облачного SOC в компаниях разных масштабов и разнообразных отраслей.
Ужесточение требований регуляторов, требования 187-ФЗ, Указы Президента РФ №250 и №620, ГосСОПКА поспособствовали развитию, а также подчеркнули необходимость не просто выявлять кибератаки на ранних стадиях, быстро реагируя на инциденты в информационных системах используя настроенное SIEM-решение, но и выполнять аналитику, выстраивать методологию и процессы управления инцидентами, мониторить и реагировать на инциденты ИБ в режиме работы 24/7.
Немаловажным фактором является заключение соглашения о сотрудничестве с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) и получение статуса корпоративного центра Государственной системы обнаружения предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Поскольку объекты критической информационной инфраструктуры обязаны подключаться к НКЦКИ и передавать данные об инцидентах, в процессе выбора провайдера SOC нужно учитывать процесс взаимодействия, включая перевод информации в необходимый формат, – таким образом, соглашение провайдера с НКЦКИ является важной составляющей при выборе поставщика услуг.
Команда SOC
Следующим критерием, который необходимо учитывать при выборе провайдера SOC – это его команда. Специалисты провайдера должны иметь набор компетенций, позволяющий выполнять кроме мониторинга и выявления инцидентов еще и расследование инцидентов ИБ. Необходимо учесть, чтобы в состав команды входило специализированное подразделение, с сертифицированными специалистами, ежедневно набирающими практический опыт мониторинга и реагирования на инциденты ИБ.
При выборе провайдера мудрым шагом будет обратить внимание не только на набор технологических компетенций и навыков, но и на глубину понимания предметной области. Очень важно понимать и иметь опыт знаний о различных типах бизнеса и отраслях, понимать слабые места и векторы возможных атак, актуальных для инфраструктуры заказчиков. Например, не все провайдеры SOC одинаково хорошо понимают работу инфраструктуры финансовых организаций или АСУ ТП. Возникает вопрос, как компании проверить компетенции провайдера? Очень просто, в первую очередь надо обращать внимание на реальные кейсы у крупных заказчиков, с которыми можно ознакомиться у провайдера.
Экспертиза и масштабирование
В кибербезопасности преимущества имеет тот, кто заведомо смог предугадать действия злоумышленников. Вследствие этого, тот поставщик услуг, который имеет опыт разбора и анализа данных, для создания моделей угроз, будет иметь неоценимое преимущество. Естественно, провайдер SOC, имеющий сильную позицию в области анализа кибербезопасности будет иметь предпочтение и на данных провайдеров стоит обращать внимание в первую очередь.
Технологическое ядро, очевидно, является основой – «скелетом» SOC, на котором держится все решение. Здесь стоит обращать внимание на наличие у провайдеров SOC проверенных и надежных компонентов, например, SIEM- и IRP-систем зарекомендовавших себя производителей.
Важным критерием при выборе провайдера SOC является возможность масштабирования. На рынке присутствуют провайдеры, которые больше ориентированы на средний или даже малый бизнес, но есть и те, которые готовы, и имеют ресурсные возможности, масштабироваться под запрос заказчика. В конечном итоге перед выбором провайдера необходимо понимать, сможет ли он работать с различными инфраструктурами и адаптироваться под растущие задачи заказчика.
Уровень обслуживания и комплексный подход
Одна из причин рассмотреть провайдера SOC, как поставщика оказания услуг — это улучшить общее отслеживание работы центра реагирования. Если компания делает свой выбор в пользу использования облачного SOC, значит она полностью доверяет все процессы провайдеру и её устраивает уровень оказания данной услуги. Наличие в штате заказчика специалистов, работающих с инцидентами ИБ не гарантирует реакцию на каждую задачу и выявленный инцидент ИБ, т.к. в большинстве случаев таких специалистов не более 2-3, и они физически не могут обеспечить непрерывное обслуживание.
Таким образом провайдер SOC должен обеспечивать непрерывный мониторинг и реагирование на инциденты ИБ. Поэтому доступность специалистов провайдера SOC должна быть 24 часа в сутки, 7 дней в неделю, 365 дней в году. Тем самым заказчик будет получать круглосуточную помощь, а инциденты ИБ обрабатываться и расследоваться.
Многие провайдеры сервисов информационной безопасности ограничивают свои возможности мониторингом, корректировкой сценариев детектирования и аналитическими отчетами по инцидентам. Для заказчиков такая модель давно перестает быть актуальной. Недостаточно просто получить оповещение об инциденте, сводную информацию о нем и возможные рекомендации по его устранению. Заказчику требуется полноценный сервис по непрерывному мониторингу, анализу событий, обнаружению атак и моментальном реагировании на них — весь комплекс обеспечения информационной безопасности организации. Так же весомым плюсом для поставщика станет возможность поддержки инфраструктуры заказчика, на которой развернуты компоненты обеспечения безопасности.
Важно отметить, что с точки зрения полноты и качества решения проблем автоматизации функций информационной безопасности хорошим подходом может стать объединение, например, сервиса, решающего задачи повышения осведомленности сотрудников в области ИБ, или сервиса управления уязвимостями с платформой облачного SOC в рамках одного провайдера.
Пилотный проект
Еще одним значимым критерием при выборе провайдера SOC является возможность проведения пилотного проекта. Пилотный проект необходим для проверки услуг SOC на собственной инфраструктуре, чтобы сразу убедиться в уровне сервисного обслуживания (SLA). Уже на этапе пилотного проекта можно определить в организационных процессах заказчика ряд проблем, затрагивающих использование ИБ-сервисов в инфраструктуре заказчика.
Важным аспектом проведения пилотного проекта является проверка компетенций провайдера SOC. Способен ли он проводить экспертизу и расследование инцидентов ИБ, а не просто их обнаруживать, что позволит оптимизировать работы по реагированию и уменьшить последствия инцидента ИБ? Кроме того, в рамках пилотного проекта стоит сопоставить ваши задачи и потребности с опытом провайдера, это поможет заведомо понять компетенции и его опыт. Ознакомиться с успешными практиками выполненных крупных проектов, организовать референс-визит к самому провайдеру SOC или к существующим заказчикам провайдера.
Например, одним из крупных проектов Infosecurity стал мониторинг территориально распределенной информационной системы «Открытия», включающей более 30 000 пользователей.
Сертификация и статус провайдера
Для понимания уровня зрелости внутренних процессов компании-провайдера SOC стоит обратить внимание на наличие сертификатов, подтверждающих такой уровень. Компания должна обладать сертификатами ISO 27001, 20000, 9001 и лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации, в том числе на мониторинг. Помимо указанных сертификатов также стоит обращать внимание на дополнительные характеристики поставщика, которые будут являться дополнительным плюсом. Например, у Infosecurity есть собственный центр реагирования на компьютерные инциденты (IN4-CERT), аккредитованный университетом Карнеги-Меллон, компания является участником информационного обмена с FinCERT Банка России и Национальным координационным центром по компьютерным инцидентам (НКЦКИ), участником антифишингового проекта «Нетоскоп».
Выводы
Текущие тренды кибербезопасности говорят нам о том, что все больше заказчиков будут смотреть в сторону передачи внутренних ИБ-процессов на аутсорсинг и планировать плавный переход в облака. Рост спроса на такую модель кибербезопасности стимулирует и развитие сервисной модели SOC (SOC as a Service), а также использование внедрённых решений ИБ, SIEM-систем, в инфраструктуре заказчиков, для оказания гибридной модели SOC.
Компаниям важно подходить к поставщику услуг исходя из понимания, какие задачи он будет решать и что может предложить поставщик услуг конкретному заказчику. Правильно реализованные и четкие процессы по мониторингу и реагированию на инциденты ИБ, переданные на аутсорсинг, могут стать ключевой частью обеспечения эффективной и надежной информационной безопасности компании. Именно поэтому необходимо проводить всеобъемлющую оценку провайдера SOC: от определения возможностей предполагаемого стека технологий и уровня сервисного обслуживания (SLA) до профессионализма команды, внутренних стандартов и процессов компании.
Получайте новые статьи моментально в Telegram по ссылке: https://t.me/sldonline_bot.
